A Comissão Europeia adotou uma decisão de adequação para os Estados Unidos em julho de 2023, completando a implementação do Acordo Transatlântico de Privacidade de Dados (DPF). Esta é a terceira tentativa de estabelecer um mecanismo legal para transferências de dados UE-EUA, após o Tribunal de Justiça ter invalidado os acordos Safe Harbor e Privacy Shield.

O Que é o DPF?

O acordo consiste em dois componentes. Do lado europeu, a decisão de adequação da Comissão efetivamente autoriza transferências de dados para organizações americanas qualificadas. Do lado americano, a Ordem Executiva 14086 impõe regras limitando a vigilância por agências de inteligência sobre dados de países da UE/EEE e estabelece um mecanismo de recurso para indivíduos afetados.

O DPF não é universal. Organizações europeias podem se basear na decisão de adequação apenas ao transferir dados para empresas americanas que autocertificam a adesão aos princípios do acordo junto ao Departamento de Comércio. Transferências para organizações não certificadas ainda exigem cláusulas contratuais padrão (SCCs) ou outras salvaguardas.

A História: Schrems I e II

As revelações de Snowden em 2013 desencadearam uma batalha legal de uma década sobre transferências de dados UE-EUA. O ativista de privacidade austríaco Max Schrems contestou as transferências transatlânticas de dados, argumentando que a vigilância americana expunha dados europeus a riscos inaceitáveis. O Tribunal de Justiça concordou duas vezes, invalidando o Safe Harbor no Schrems I e o Privacy Shield no Schrems II.

Essas decisões estabeleceram dois princípios importantes: decisões de adequação devem refletir padrões genuínos de proteção de dados em vez de conveniência política, e organizações podem precisar de salvaguardas adicionais além das SCCs ao transferir dados para países com amplas capacidades de vigilância.

Impacto do Schrems II

Após a decisão de 2020, muitas empresas continuaram transferindo dados para os EUA sem salvaguardas adequadas. Organizações de privacidade responderam apresentando reclamações que levaram autoridades nacionais a tomar medidas de fiscalização contra ferramentas de analytics e publicidade baseadas nos EUA na França, Itália, Áustria e outros mercados importantes.

O DPF Vai Sobreviver a Contestações Legais?

Defensores da privacidade já anunciaram planos de contestar a decisão de adequação perante o Tribunal de Justiça. O acordo representa uma melhoria em relação ao Privacy Shield, mas permanecem questões sobre se as limitações da ordem executiva à vigilância são suficientes.

O Parlamento Europeu emitiu um parecer negativo sobre o acordo, o que pode influenciar a posição do tribunal. Fatores geopolíticos, incluindo a relação estratégica UE-EUA, podem pressionar na direção oposta. Se o DPF for invalidado em uma potencial decisão "Schrems III", empresas europeias enfrentarão novamente uma incerteza jurídica fundamental em relação ao uso de serviços de nuvem e processadores de dados baseados nos EUA.

Organizações devem manter planos de contingência para suas transferências de dados para os EUA, incluindo a avaliação de alternativas hospedadas na Europa para serviços críticos.